TOPセキュリティ > フィッシングとフィッシングキットの基本(後)

セキュリティ

フィッシングとフィッシングキットの基本(後)

2021/05/06

Steve Ragan CSO

 フィッシングは、人の心理を突く攻撃の一種で、ソーシャルエンジニアリングと密接な関係にある。ログイン情報などを盗むことを目的として、偽のメールを送る手口が多い。万人向きのメールで不特定多数を狙う場合もあれば、対象に合わせて攻撃をカスタマイズする場合もある。

前回から続く)

フィッシングが成功する理由

Credit: CHUYN / Getty Images / AKO9

 人がフィッシングの餌食になる理由は、人間として元来持っている親切心や好奇心、そして、日常生活の中で自分の身に災難が降りかかるとは基本的に思っていない点にある。ネットワークに侵入するための足がかりを得る方法として、特に手っ取り早いのがフィッシングであり、もっと厳密に言えばソーシャルエンジニアリングだ。不正にアクセスしたければ、そのための情報を人間に教えてもらうのが、時には最も簡単だ。レッドチームの評価でフィッシングやソーシャルエンジニアリングが対象外となっている場合があるのはそのためだ。評価の本来の目的が台無しになるからである。

 フィッシング攻撃の中でも特に成功しやすいのは、特定の人物1人を標的にして、その人に合わせたカスタマイズを施し、違和感を一切なくすやり方だ。攻撃というよりは、プライベートやビジネスでよくある普通の連絡という印象を与える。

 例えば、企業の人事部門で働いているAさんに、ある大手求人情報サイトをかたるメールが届いたとしよう。Aさんはこのサイトで実際に求人情報を掲載したことがある。メールはAさん本人のアドレス宛てで、最近Aさんが掲載した求人情報に何らかの手違いがあった、という連絡だったとする。一体何の手違いなのか、Aさんは当然気になるはずだ。

 メール内のリンクをAさんがクリックしたところ、この求人情報サイトにログインするための入力画面が開いた。ユーザー名とパスワードを入力し、画面の指示に従って追加情報も入力したところ、求人情報サイトのトップページにリダイレクトされた。しかし、ログインはしていない状態だった。

↑ページ先頭へ